イベントレポート

JPAAWG 4th General Meeting

フィッシング詐欺やマルウェアなど、セキュリティ対策の最新動向を専門家らが解説

セキュリティ企業3社による取り組みとは?

 2021年11月11・12日にオンラインで開催された「JPAAWG 4th General Meeting」のセッション「A1-3:JPAAWG セキュリティリサーチャーパネル」では、株式会社カスペルスキー、ソフォス株式会社、Vade Secure株式会社から迷惑メールの動向と対策について解説が行われた。

「PCの前で恥ずかしい行動をしている動画を公開する!」最大の対策は無視、3社が迷惑メールの動向と対応を説明

 株式会社カスペルスキーの石丸傑氏(グローバル調査分析チーム セキュリティリサーチャー)からは「Email経由の脅威2021」と題し、バラまき型と標的型攻撃の2つに対して具体的な例で紹介した。同社の製品で突出して多く検知されたのが同社が「Hoax.Script.Scaremail.gen」として検知する「(ばらまき型)セクストーション(性的脅迫)メール」だ。

 セクストーションは2010年にFBIが警告しており、日本でも2014年にIPAが注意喚起している。ばらまき型のセクストーションメールに関しては、2018年に日本語を含む多言語対応となり、IPAが注意喚起している。これらは(実際に動画撮影をしておらず)ハッタリで脅しているものだ。2021年は送信数が急増し、石丸氏の元同僚にも届いたそうだ。

 ばらまき型の迷惑メールは同じような文面が多いが、セクストーションメールに関しては過去数回変更が加わっているという(注:以前のセクストーションメールでは凄腕のハッカー感を出すために過去に流出しているメールアドレスとパスワードの情報を使っていた)。あるメールでは1500ドルほどを特定のBitCoinアドレスに送金させようとしていたので、そのBitCoinアドレスの入金状況を調べたところ、47万円ほどあり「3人が入金したのではないか?」と推定していた。

 標的型攻撃メールの事例としては、何らかの方法で乗っ取ったLinkedInアカウントからダイレクトメッセージやメールでマルウェアを拡散した事例を紹介した。

 メールに書かれているURLをクリックすると、マルウェアのダウンローダーを内包したWordドキュメントが現れ、マクロを有効化させるための手段も駆使することで「ワンクリックで数億円の被害」となったという。このため石丸氏は「同僚、取引先、お客様とのやり取りにも注意し、マクロの有効化は避ける」ことを対策として挙げていた。

株式会社カスペルスキーの石丸傑氏(グローバル調査分析チーム セキュリティリサーチャー)
カスペルスキーの迷惑メール対策製品で今年最も検知されたのが「Hoax.Script.Scaremail.gen」という検知名。ばらまき型のセクストーションメールだ
石丸氏の元同僚にもセクストーションメールが届き、相談のメールを受け取ったという
ばらまき型セクストーションメールの最も有効な対策は「無視」。一方標的型攻撃メールは同僚や取引先を装うことも多く、安易なクリックやマクロ有効は避けるべき

AIを改良することで分脈に沿った単語を抽出して、BECをあぶり出す

 続いて、ソフォスの五十嵐章義氏(アライアンス営業 インテグレーションエンジニア)が「BEC対策の最新動向」として説明を行った。BEC(ビジネスメール詐欺)はばらまき型のスパムではなく、特定の標的を騙すためにカスタマイズされた文章を作成しているためシグネチャの提供が難しく、文言で騙すためフィッシングメールのようなURLも添付ファイルもないので検出が難しい。加えてAIによるNLP(自然言語処理)により、攻撃者の負担を減らしつつ効率よくメールが送れるようになっているという。

 BEC対策としてのNLPは従来課題が多かったが、2017年のGoogleが発表した技術が転機となり、違和感のないレベルのBEC検知エンジンを開発できたという。同じ学習セットでも閾値を変えることによって「95%の検知率だが1%過検知」や「87%の検知率で0.5%の過検知」と目的に応じてチューニングできるようにした。

 このBEC検知エンジンはクラウド利用のほか、ユーザーにコンテナイメージでエンジンを提供することも可能だという。エンジンへ標準的なRFC822フォーマットでメッセージを送信することでリスクを0~100で評価している。標準的なRFC822フォーマットを使う事で利用を容易にしており、文章の本文だけでなくメールヘッダ情報もBEC解析に活用している。

 技術活用事例として「ギフトカード詐欺」を挙げていた。これは関係者を騙り、緊急性を装って買ってきたギフトカードのコードを送信して欲しいという依頼を行った複数のメッセージに対し、文脈からBECと判断できたという。

 既存のツールに別視点を加えることで脅威を押さえることができるとまとめていたが、この文面学習は日本語でも対応するのか? という質問に対しては「(技術そのものは)多言語対応だが(学習セットが)EU圏の言語なので、日本語対応に関しては検討を進めており『勉強中』」と回答しており、日本で活躍するのはもう少し先になりそうな印象を受けた。

ソフォス株式会社の五十嵐章義氏(アライアンス営業 インテグレーションエンジニア)
BECはスパムでなく作りこまれているため、従来は検出が困難だった。攻撃側もAIによる自然言語処理を用いて、自然なかたちを装っているという
従来のNLPでは難しかった感情検出も改良型BERTを基にしたモデルによって検知可能。膨大なテストデータと閾値の変更で多くのケースに活用できるという。ただし、まだ日本語の学習に関しては十分ではないようだ
ソフォスの持つ既存のツールにBEC/URL解析のエンジンという別視点の対策を組み込むことによって脅威を押さえ込む

攻撃者の特徴をつかんだ予測的防御でフィッシングメールを検知

 最後にVade Secure株式会社の小川丁氏(日本国内ISP技術担当 テクニカルアカウントマネージャー)が「スパム・フィッシングの最新動向とケーススタディ」と題した説明を行った。日本のスパム・フィッシングは2021年5月以降急激に増え、特にフィッシングの増加が目立つという。

 スパムに関しては、出会い系スパムでブログホスティングを悪用した事例を紹介した。スパムメールに記載されているURLは無害なブログサイトとなっているが、ブログ内部のスクリプトで出会い系サイトに誘導している。これは対策ソフトのURL確認を回避するためだ。

 フィッシングはメール、サイトともに「本物を改造」しているため、見た目での区別が困難だ。小川氏はカード会社を騙った事例を示して違いがほとんどないことを示した。使っているメールドメインがランダムなのでそこに気付くかもしれないが、スマートフォンの場合は表示されず、モバイルで脅威が拡大しているという。

 これらの状況を踏まえた上でスパム・フィッシング対策として「総合的な対策」、「ビッグデータ×AIによる予測的な防御」、「リアルタイムの分析と対策」が効果的であると説明した。Vade Secureでは毎日1000万通のメールを自動的にカテゴライズし、分類も多くを自動化することによって、オペレーションチームがルールを生成している。

 Vade Secureのフィッシングルールは、分類で犯人の特徴を見つけているため変異種にも対応できるという。これは犯人のアタマ(特徴と手法)を理解してルールを作成することで実現できたという。

 同氏は「メールは人と人の心を繋ぎ、経済活動を支える大事な手段だと信じており、今後も安心安全なメールサービスを提供するように努めたい」と語った。

Vade Secure 株式会社の小川丁氏(日本国内ISP技術担当 テクニカルアカウントマネージャー)
2021年5月からスパム(グラフでオレンジ色のもの)が増加傾向にあり、フィッシング(灰色)も図で分かるほど増加しているのが分かる
フィッシングサイトは人間の目で見てほぼ分からないほど(右が本物)。別のセッションでも「専門家も分からない」と称されていたので、ツールを使うべきだろう
Vade Secureでは膨大なメールデータを自動的に規則化し、多くは自動で分類。一部チームで分類も行い、そこから得られた犯人の特徴から予測的なルールを作成するという